CN114205072A - 认证方法、装置及系统 - Google Patents
认证方法、装置及系统 Download PDFInfo
- Publication number
- CN114205072A CN114205072A CN202010880356.4A CN202010880356A CN114205072A CN 114205072 A CN114205072 A CN 114205072A CN 202010880356 A CN202010880356 A CN 202010880356A CN 114205072 A CN114205072 A CN 114205072A
- Authority
- CN
- China
- Prior art keywords
- key
- network element
- terminal device
- identifier
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 238000004891 communication Methods 0.000 claims abstract description 188
- 238000012545 processing Methods 0.000 claims description 69
- 238000013523 data management Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 169
- 230000004044 response Effects 0.000 description 33
- 238000012795 verification Methods 0.000 description 32
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 12
- 238000013439 planning Methods 0.000 description 12
- 230000003993 interaction Effects 0.000 description 9
- 230000011664 signaling Effects 0.000 description 8
- 239000002699 waste material Substances 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供认证方法,装置及系统,可以简化第三方应用的配置。方法包括:区块链系统接收来自应用服务器的第一消息,该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;区块链系统根据第一标识,确定该终端设备的用户上下文;区块链系统根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备的合法性。本申请适用于通信技术领域。
Description
技术领域
本申请涉及通信技术领域,尤其涉及认证方法,装置及系统。
背景技术
现有技术中,基于安全通信的考虑,终端设备接入移动网络时,需要执行一次鉴权流程。在终端设备接入移动网络后,若终端设备需要访问第三方应用,还需要再执行一次鉴权流程。也就是说,若终端设备能够访问第三方应用,则终端设备需要支持两种鉴权方式(一次移动网络接入鉴权,一次应用接入鉴权),只有两次鉴权成功后,终端设备才能访问第三方应用。为简化终端设备的实现,目前提出了应用层鉴权和密钥管理(authenticationand key management for applications,AKMA)架构。如图1所示,在AKMA架构中,AKMA鉴权功能(AKMA authentication function,AAuF)网元为认证服务功能(AuthenticationServer Function)网元与AKMA应用功能(AKMA application function,AApF)网元之间的代理,AApF网元通过AAuF网元寻找AUSF网元。其中,当终端设备接入移动网络时,终端设备和AUSF网元之间鉴权成功后,AUSF网元和终端设备协商生成终端设备与AUSF网元之间的密钥,并基于该密钥生成用于终端设备和AApF网元安全通信的密钥。进而,AApF网元可以从AUSF网元获得用于终端设备和AApF网元安全通信的密钥,并在终端设备访问第三方应用时使用该密钥。也就是说,AKMA架构重用移动网络对终端设备鉴权的结果,仅需在终端设备接入移动网络时执行一次鉴权流程即可实现安全通信。
然而,在第三方应用的用户属于多个运营商从而应用服务器需要和多个运营商设备进行交互的场景下,比如多个专网组成联盟的情况下,应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址。此外,当有专网加入或者退出联盟时,AApF网元上还要新增或者删除专网中AAuF网元的接口以及接口地址,这显然增加了第三方应用的实现复杂度。
发明内容
本申请实施例提供认证方法,装置及系统,可以简化第三方应用的配置。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供一种认证方法,该方法包括:区块链系统接收来自应用服务器的第一消息,该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;区块链系统根据该第一标识,确定该终端设备的用户上下文;区块链系统根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数和/或消息,为该应用服务器对应的第三方应用验证该终端设备的合法性。一方面,本申请实施例中,在区块链系统为第三方应用验证终端设备合法,这样可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。另一方面,相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如为第三方应用验证终端设备的合法性),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
在一种可能的实现方式中,该终端设备的用户上下文中包括该第一密钥,区块链系统根据该第一标识,确定该终端设备的用户上下文包括:区块链系统根据该第一标识,确定该第一密钥。
在一种可能的实现方式中,区块链系统根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数或消息,为该应用服务器对应的第三方应用验证该终端设备的合法性,包括:区块链系统使用该第一密钥对该终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当该解密后的参数符合预配置的该终端设备和该区块链系统交互使用的参数格式或者数值,和/或该解密后的消息符合预配置的该终端设备和该区块链系统交互使用的消息格式,区块链系统确定该终端设备合法。基于该方案,可以实现终端设备的合法性验证。
在一种可能的实现方式中,第一标识包括该终端设备的全局区块链标识或者第二密钥对应的密钥标识KID中的至少一个,该第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
在一种可能的实现方式中,第一密钥是根据第二密钥派生得到的,该第二密钥为该终端设备与认证服务功能网元之间鉴权成功后生成的密钥。基于该方案,由于后续在获得终端设备和应用服务器安全通信的密钥之前,应用服务器与终端设备可以使用移动网络中派生的密钥进行通信,因此提升了终端设备的业务安全性。
在一种可能的实现方式中,本申请实施例提供的通信方法还包括:在该区块链系统验证该终端设备合法后,区块链系统获取第三密钥,该第三密钥为用于该终端设备和该应用服务器安全通信的密钥;区块链系统向该应用服务器发送该第三密钥。也就是说,本申请实施例中,可以通过区块链系统获得应用服务器和终端设备之间通信的安全参数,从而实现终端设备与应用服务器之间的安全通信。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如通过区块链系统获得应用服务器和终端设备之间通信的安全参数),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
在一种可能的实现方式中,该终端设备的用户上下文中包括该第一密钥;区块链系统获取第三密钥,包括:区块链系统生成第三密钥,其中,生成该第三密钥的输入参数中包括该第一密钥。也就是说,本申请实施例中,可以由区块链系统获得应用服务器和终端设备之间通信的安全参数,以及由区块链系统为应用服务器对应的第三方应用验证终端设备的合法性。
在一种可能的实现方式中,区块链系统获取第三密钥,包括:区块链系统向认证服务功能网元发送第二消息,该第二消息包括该第一标识,该第一标识用于确定该终端设备的用户上下文,该终端设备的用户上下文中包括该第一密钥或第二密钥,该第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥;区块链系统接收来自该认证服务功能网元该第三密钥,其中,生成该第三密钥的输入参数中包括该第一密钥或该第二密钥。也就是说,本申请实施例中,可以由区块链系统为应用服务器对应的第三方应用验证终端设备的合法性,以及通过区块链系统获得应用服务器和终端设备之间通信的安全参数。
在一种可能的实现方式中,该生成该第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,该第二标识为该第三方应用的应用标识,该解密后的参数是使用该第一密钥对该终端设备使用第一密钥加密的参数进行解密后获得的参数。基于该方案,由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的第三密钥也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与应用服务器之间的安全通信。
在一种可能的实现方式中,在该区块链系统接收来自应用服务器的第一消息之前,本申请实施例提供的认证方法还包括:区块链系统接收来自认证服务功能网元的第三消息,该第三消息请求将该第一密钥、该第一标识和该认证服务功能网元的地址存储在该终端设备的用户上下文中;区块链系统将该第一密钥、该第一标识和该认证服务功能网元的地址存储在该终端设备的用户上下文中。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息(如第一密钥、第一标识和认证服务功能网元的地址),因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。此外,本申请实施例中,区块链系统将认证服务功能网元的地址存储在该终端设备的用户上下文中,这样可以使得后续区块链系统与认证服务功能网元交互时,直接从终端设备的用户上下文中获取认证服务功能网元的地址,简化了区块链系统的处理逻辑。
在一种可能的实现方式中,在区块链系统接收来自应用服务器的第一消息之前,本申请实施例提供的认证方法还包括:区块链系统接收来自认证服务功能网元的第三消息,该第三消息请求将该第一密钥和该第一标识存储在该终端设备的用户上下文中;区块链系统将该第一密钥和该第一标识存储在该终端设备的用户上下文中。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息(如第一密钥和第一标识),因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
第二方面,提供了一种认证方法,该方法包括:认证服务功能网元获取指示信息,该指示信息指示通过区块链系统进行安全操作;认证服务功能网元根据该指示信息,向该区块链系统发送第三消息,该第三消息包括第一信息,用于请求将该第一信息存储在终端设备的用户上下文中,其中,该第一信息为应用服务器通过该区块链系统进行安全操作时所需的信息。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息,因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
在一种可能的实现方式中,第一信息包括第一标识和该认证服务功能网元的地址,其中,该第一标识用于确定该终端设备的用户上下文。本申请实施例中,区块链系统将认证服务功能网元的地址存储在该终端设备的用户上下文中,这样可以使得后续区块链系统与认证服务功能网元交互时,直接从终端设备的用户上下文中获取认证服务功能网元的地址,简化了区块链系统的处理逻辑。
在一种可能的实现方式中,该第一信息包括该第一标识和第一密钥。其中,该第一密钥是根据第二密钥派生得到的,该第二密钥为该终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
在一种可能的实现方式中,该第一信息包括该第一标识、第一密钥和该认证服务功能网元的地址。本申请实施例中,区块链系统将认证服务功能网元的地址存储在该终端设备的用户上下文中,这样可以使得后续区块链系统与认证服务功能网元交互时,直接从终端设备的用户上下文中获取认证服务功能网元的地址,简化了区块链系统的处理逻辑。
在一种可能的实现方式中,该第一标识包括该终端设备的全局区块链标识或者该第二密钥对应的密钥标识KID中的至少一个。
在一种可能的实现方式中,该认证服务功能网元获取指示信息,包括:认证服务功能网元接收来自该终端设备的该指示信息;或者,认证服务功能网元接收来自统一数据管理网元的该指示信息。
在一种可能的实现方式中,在该认证服务功能网元根据该指示信息,向该区块链系统发送第三消息之后,该方法还包括:认证服务功能网元接收来自该区块链系统的第二消息,该第二消息包括第一标识;认证服务功能网元根据该第一标识,确定该终端设备的用户上下文,该终端设备的用户上下文中包括第一密钥或第二密钥;该第一密钥是根据该第二密钥派生得到的,该第二密钥为用于该终端设备与认证服务功能网元之间鉴权成功后生成的密钥;认证服务功能网元生成第三密钥,该第三密钥为用于该终端设备和该应用服务器安全通信的密钥,其中,生成该第三密钥的输入参数中包括该第一密钥或该第二密钥;认证服务功能网元向该区块链系统发送该第三密钥。也就是说,本申请实施例中,可以由认证服务功能网元生成应用服务器和终端设备之间通信的安全参数(如第三密钥)。进而,应用服务器可以通过区块链系统获得应用服务器和终端设备之间通信的安全参数。
在一种可能的实现方式中,该第二消息还包括第二标识和/或该终端设备使用第一密钥加密的参数,该第二标识为该应用服务器对应的第三方应用的应用标识;相应的,该生成该第三密钥的输入参数中还包括该第二标识和/或解密后的参数,其中,该解密后的参数是使用该第一密钥对该终端设备使用第一密钥加密的参数进行解密后获得的参数。基于该方案,由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的第三密钥也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与应用服务器之间的安全通信。
在一种可能的实现方式中,该第二消息还包括该终端设备使用该第一密钥加密的参数和/或消息;在认证服务功能网元生成第三密钥之前,该方法还包括:认证服务功能网元根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数和/或消息,为该应用服务器对应的第三方应用验证该终端设备合法。基于该方案,可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。
在一种可能的实现方式中,该终端设备的用户上下文中包括该第一密钥;认证服务功能网元根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数或消息,为该应用服务器对应的第三方应用验证该终端设备合法,包括:认证服务功能网元使用该第一密钥对该终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当该解密后的参数符合预配置的该终端设备和该认证服务功能网元交互使用的参数格式或者数值,和/或该解密后的消息符合预配置的该终端设备和该认证服务功能网元交互使用的消息格式,认证服务功能网元确定该终端设备合法。基于该方案,可以实现终端设备的合法认证。
在一种可能的实现方式中,该通过区块链系统进行安全操作包括通过该区块链系统获得该应用服务器和该终端设备之间通信的安全参数。
在一种可能的实现方式中,该通过区块链系统进行安全操作还包括通过该区块链系统为该应用服务器对应的第三方应用验证该终端设备的合法性。
第三方面,提供了一种认证方法,该方法包括:区块链系统接收来自应用服务器的第一消息,该第一消息包括第一标识;区块链系统根据该第一标识,确定终端设备的用户上下文,该终端设备的用户上下文中包括第一密钥;区块链系统生成第三密钥,该第三密钥为用于该终端设备和应用服务器安全通信的密钥,其中,生成该第三密钥的输入参数中包括该第一密钥。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如通过该区块链系统获得该应用服务器和该终端设备之间通信的安全参数),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
在一种可能的实现方式中,该第一密钥是根据第二密钥派生得到的,该第二密钥为该终端设备与认证服务功能网元之间鉴权成功后生成的密钥。基于该方案,由于后续在获得终端设备和应用服务器安全通信的密钥之前,应用服务器与终端设备可以使用移动网络中派生的密钥进行通信,因此提升了终端设备的业务安全性。
在一种可能的实现方式中,该第一消息还包括第二标识和/或该终端设备使用第一密钥加密的参数,该第二标识为该应用服务器对应的第三方应用的应用标识;相应的,该生成该第三密钥的输入参数中还包括该第二标识和/或解密后的参数,其中,该解密后的参数是使用该第一密钥对该终端设备使用第一密钥加密的参数进行解密后获得的参数。基于该方案,由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的第三密钥也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与应用服务器之间的安全通信。
在一种可能的实现方式中,在区块链系统接收来自应用服务器的第一消息之前,本申请实施例提供的通信方法还包括:区块链系统接收来自认证服务功能网元的第三消息,该第三消息请求将该第一密钥和该第一标识存储在该终端设备的用户上下文中;区块链系统将该第一密钥和该第一标识存储在该终端设备的用户上下文中。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息(如第一密钥和第一标识),因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
第四方面,提供了一种认证方法,该方法包括:认证服务功能网元接收来自区块链系统的第二消息,该第二消息包括第一标识;认证服务功能网元根据第一标识,确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥或第二密钥;第一密钥是根据第二密钥派生得到的,第二密钥为用于终端设备与认证服务功能网元之间鉴权成功后生成的密钥;认证服务功能网元生成第三密钥,该第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥或第二密钥。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如通过该区块链系统获得该应用服务器和该终端设备之间通信的安全参数),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
在一种可能的实现方式中,该第二消息还包括第二标识和/或该终端设备使用第一密钥加密的参数,该第二标识为该应用服务器对应的第三方应用的应用标识;相应的,该生成该第三密钥的输入参数中还包括该第二标识和/或解密后的参数,其中,该解密后的参数是使用该第一密钥对该终端设备使用第一密钥加密的参数进行解密后获得的参数。基于该方案,由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的第三密钥也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与应用服务器之间的安全通信。
在一种可能的实现方式中,该第二消息还包括该终端设备使用该第一密钥加密的参数和/或消息;在认证服务功能网元生成第三密钥之前,该方法还包括:认证服务功能网元根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数和/或消息,为该应用服务器对应的第三方应用验证该终端设备合法。基于该方案,可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。
在一种可能的实现方式中,该终端设备的用户上下文中包括该第一密钥;认证服务功能网元根据该终端设备的用户上下文,以及该终端设备使用第一密钥加密的参数或消息,为该应用服务器对应的第三方应用验证该终端设备合法,包括:认证服务功能网元使用该第一密钥对该终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当该解密后的参数符合预配置的该终端设备和该认证服务功能网元交互使用的参数格式或者数值,和/或该解密后的消息符合预配置的该终端设备和该认证服务功能网元交互使用的消息格式,认证服务功能网元确定该终端设备合法。基于该方案,可以实现终端设备的合法认证。
第五方面,提供了一种通信装置用于实现上述方法。该通信装置可以为上述第一方面或第三方面中的区块链系统中的一个或多个区块链装置,或者包含上述区块链系统的装置;或者,该通信装置可以为上述第二方面或第四方面中的认证服务功能网元,或者包含上述认证服务功能网元的装置。该通信装置包括实现上述方法相应的模块、单元、或手段(means),该模块、单元、或means可以通过硬件实现,软件实现,或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。
第六方面,提供了一种通信装置,包括:处理器和存储器;该存储器用于存储计算机指令,当该处理器执行该指令时,以使该通信装置执行上述任一方面所述的方法。该通信装置可以为上述第一方面或第三方面中的区块链系统中的一个或多个区块链装置,或者包含上述区块链系统的装置;或者,该通信装置可以为上述第二方面或第四方面中的认证服务功能网元,或者包含上述认证服务功能网元的装置。
第七方面,提供了一种通信装置,包括:处理器;该处理器用于与存储器耦合,并读取存储器中的指令之后,根据该指令执行如上述任一方面所述的方法。该通信装置可以为上述第一方面或第三方面中的区块链系统中的一个或多个区块链装置,或者包含上述区块链系统的装置;或者,该通信装置可以为上述第二方面或第四方面中的认证服务功能网元,或者包含上述认证服务功能网元的装置。
第八方面,提供了一种通信装置,包括:处理器和接口电路;接口电路,用于接收计算机程序或指令并传输至处理器;处理器用于执行所述计算机程序或指令,以使该通信装置执执行如上述任一方面所述的方法。该通信装置可以为上述第一方面或第三方面中的区块链系统中的一个或多个区块链装置,或者包含上述区块链系统的装置;或者,该通信装置可以为上述第二方面或第四方面中的认证服务功能网元,或者包含上述认证服务功能网元的装置。
第九方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述任一方面所述的方法。
第十方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述任一方面所述的方法。
第十一方面,提供了一种通信装置(例如,该通信装置可以是芯片或芯片系统),该通信装置包括处理器,用于实现上述任一方面中所涉及的功能。在一种可能的实现方式中,该通信装置还包括存储器,该存储器,用于保存必要的程序指令和数据。该通信装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第五方面至第十一方面中任一种可能的实现方式所带来的技术效果可参见上述第一方面至第四方面中不同设计方式所带来的技术效果,此处不再赘述。
第十二方面,提供了一种通信系统,该通信系统包括区块链系统和应用服务器;应用服务器,用于向区块链系统发送第一消息,该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;区块链系统,用于接收来自应用服务器的第一消息,并根据第一标识,确定终端设备的用户上下文之后,根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备的合法性。其中,第十二方面的技术效果可参考上述第一方面,在此不在赘述。
第十三方面,提供了一种通信系统,该通信系统包括区块链系统和应用服务器;应用服务器,用于向区块链系统发送第一消息,该第一消息包括第一标识;区块链系统,用于接收来自应用服务器的第一消息,并根据第一标识确定终端设备的用户上下文之后,生成第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥。其中,终端设备的用户上下文中包括第一密钥,生成第三密钥的输入参数中包括第一密钥。其中,第十三方面的技术效果可参考上述第三方面,在此不在赘述。
第十四方面,提供了一种通信系统,该通信系统包括认证服务功能网元和区块链系统;认证服务功能网元,用于获取指示信息,该指示信息指示通过区块链系统进行安全操作。认证服务功能网元,还用于根据该指示信息,向区块链系统发送第三消息,第三消息包括第一信息,用于请求将第一信息存储在终端设备的用户上下文中,其中,所述第一信息为应用服务器通过区块链系统进行安全操作时所需的信息。区块链系统,用于接收来自认证服务功能网元的第三消息,并将第一信息存储在终端设备的用户上下文中。其中,第十四方面的技术效果可参考上述第二方面,在此不在赘述。
附图说明
图1为现有的AKMA架构示意图;
图2为本申请实施例提供的一种通信系统的结构示意图;
图3为本申请实施例提供的另一种通信系统的结构示意图;
图4为本申请实施例提供的5G网络的架构示意图;
图5为本申请实施例提供的通信设备的结构示意图;
图6为本申请实施例提供的认证方法的交互示意图一;
图7为本申请实施例提供的认证方法的交互示意图二;
图8为本申请实施例提供的认证方法的交互示意图三;
图9为本申请实施例提供的认证方法的流程示意图一;
图10为本申请实施例提供的认证方法的流程示意图二;
图11为本申请实施例提供的认证方法的流程示意图三;
图12为本申请实施例提供的认证方法的流程示意图四;
图13为本申请实施例提供的通信装置的结构示意图。
具体实施方式
为方便理解本申请实施例的方案,首先给出相关概念的简要介绍如下:
第一,区块链技术
区块链技术,也被称为分布式账本技术,是一种由若干台计算设备共同参与“记账”(即记录交易数据),共同维护一份完整的分布式数据库的新兴技术。由于区块链技术具有去中心化(即没有中心节点)、公开透明、每台计算设备可以参与数据库记录、并且各计算设备之间可以快速的进行数据同步的特性,使得区块链技术已在众多的领域中广泛的进行应用。
目前,区块链按照部署方式可以分为:公有链和联盟链。公有链是指全世界任何设备都可读取的区块链,或者是任何设备都能参与交易的共识验证过程的区块链。联盟链,也称共同体区块链(consortium block chains),是指由指定区块链的参与成员组成联盟,成员之间的业务往来信息被记录在区块链中,限定了使用规模和权限。
第二,区块链系统
本申请实施例中的区块链系统也可以简称为区块链。该区块链系统包括一个或多个区块链装置,该区块链装置例如是区块链安全处理模块。示例性的,本申请实施例中的区块链安全处理模块例如可以为区块链智能合约模块,区块链智能合约模块为区块链系统中处理用户访问第三方应用安全操作的智能合约模块,在此统一说明,以下不在赘述。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。同时,在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图2所示,为本申请实施例提供的一种通信系统20。该通信系统20包括区块链系统201和应用服务器202。其中,区块链系统201和应用服务器202之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。示例性的,应用服务器202可以通过在目前的5G通信系统中新增的区块链处理功能(block chain handlingfunction,BCHF)网元与区块链系统201交互,本申请实施例对此不作具体限定。也就是说,本申请实施例中的BCHF网元可以在应用服务器202不具有区块链处理功能(也可以理解为不支持区块链相关操作)时作为应用服务器202和区块链系统201之间的代理,代表应用服务器202和区块链系统201交互。比如,BCHF网元负责将网络处理信息作为交易发布到区块链系统中,同时将区块链系统和网络相关的事物发布到网络中。其中,BCHF网元的功能包括但不限于:发布交易,记录区块或者执行智能合约中的一项或多项。
当然,本申请实施例中的BCHF网元也可以在其他网元不具有区块链处理功能时作为第一网元和区块链系统之间的代理,代表其他网元和区块链系统交互。比如,在图3所示的通信系统30中,BCHF网元可以在认证服务功能网元301不具有区块链处理功能时作为认证服务功能网元301和区块链系统302之间的代理,代表认证服务功能网元301和区块链系统302交互,在此统一说明,以下不在赘述。
一种可能的实现方式中,在图2所示的通信系统20中,应用服务器202,用于向区块链系统201发送第一消息,该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息。区块链系统201,用于接收来自应用服务器202的第一消息,并根据第一标识,确定终端设备的用户上下文之后,根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器202对应的第三方应用验证终端设备的合法性。其中,上述方案的具体实现将在后续方法实施例中详细阐述,在此不予赘述。一方面,本申请实施例中,在区块链系统为第三方应用验证终端设备合法,这样可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。另一方面,相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如为第三方应用验证终端设备的合法性),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
另一种可能的实现方式中,在图2所示的通信系统20中,应用服务器202,用于向区块链系统201发送第一消息,该第一消息包括第一标识。区块链系统201,用于接收来自应用服务器202的第一消息,并根据第一标识确定终端设备的用户上下文之后,生成第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥。其中,终端设备的用户上下文中包括第一密钥,生成第三密钥的输入参数中包括第一密钥。其中,上述方案的具体实现将在后续方法实施例中详细阐述,在此不予赘述。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如为第三方应用验证终端设备的合法性),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
如图3所示,为本申请实施例提供的一种通信系统30。该通信系统30包括认证服务功能网元301和区块链系统302。认证服务功能网元301和区块链系统302之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。示例性的,如上所述,认证服务功能网元301可以通过在目前的5G通信系统中新增的BCHF网元与区块链系统302交互,本申请实施例对此不作具体限定。
其中,认证服务功能网元301,用于获取指示信息,该指示信息指示通过区块链系统进行安全操作。认证服务功能网元301,还用于根据该指示信息,向区块链系统302发送第三消息,第三消息包括第一信息,用于请求将第一信息存储在终端设备的用户上下文中,其中,所述第一信息为应用服务器通过区块链系统302进行安全操作时所需的信息。区块链系统302,用于接收来自认证服务功能网元301的第三消息,并将第一信息存储在终端设备的用户上下文中。其中,本申请实施例中,通过区块链系统302进行安全操作包括通过区块链系统302获得应用服务器和终端设备之间通信的安全参数。可选的,通过区块链系统302进行安全操作包括通过区块链系统302为应用服务器对应的第三方应用验证终端设备的合法性。在此统一说明,以下不再赘述。上述方案的具体实现将在后续方法实施例中详细阐述,在此不予赘述。相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息,因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
需要说明的是,本申请实施例中的“第三方应用”中的“第三方”是相对运营商的传输网络,比如移动传输网来说的。换言之,本申请实施例中的“第三方应用”可以为目前的任一可运行的应用,在此统一说明,以下不在赘述。
可选的,图2所示的通信系统20或图3所示的通信系统30可以应用于目前的5G网络或者未来的其他网络,本申请实施例对此不作具体限定。
示例性的,如图4所示,若图2所示的通信系统20或图3所示的通信系统30应用于目前的5G网络,则图2所示的通信系统20中的应用服务器202所对应的网元或者实体可以为5G网络架构中的应用功能(application function,AF)网元,图3所示的通信系统中的认证服务功能网元所对应的网元或者实体可以为5G网络架构中的认证服务器功能(authentication server function,AUSF)网元。
此外,如图4所示,目前的5G网络还可以包括接入网设备、接入和移动性管理功能(core access and mobility management function,AMF)网元、会话管理功能(sessionmanagement function,SMF)网元、BCHF网元、用户面功能(user plane function,UPF)网元、网络切片选择功能(network slice selection function,NSSF)网元、网络开放功能(network exposure function,NEF)网元、网络功能存储功能(network exposurefunction Repository Function,NRF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元等,本申请实施例对此不作具体限定。
其中,如图4所示,终端设备通过接入网设备接入5G网络,终端设备通过N1接口(简称N1)与AMF网元通信;接入网设备通过N2接口(简称N2)与AMF网元通信;接入网设备通过N3接口(简称N3)与UPF网元通信,SMF网元通过N4与UPF网元通信,UPF网元通过N6接口(简称N6)接入数据网络。此外,图4所示的AUSF网元、AMF网元、SMF网元、NSSF网元、NEF网元、NRF网元、PCF网元、UDM网元、AF网元或者BCHF网元等控制面网元也可以采用服务化接口进行交互。比如,AUSF网元对外提供的服务化接口可以为Nausf;AMF网元对外提供的服务化接口可以为Namf;SMF网元对外提供的服务化接口可以为Nsmf;NSSF网元对外提供的服务化接口可以为Nnssf;NEF网元对外提供的服务化接口可以为Nnef;NRF网元对外提供的服务化接口可以为Nnrf;PCF网元对外提供的服务化接口可以为Npcf;UDM网元对外提供的服务化接口可以为Nudm;AF网元对外提供的服务化接口可以为Naf,BCHF网元对外提供的服务化接口可以为Nbchf。相关描述可以参考23501标准中的5G系统架构(5G system architecture)图,在此不予赘述。此外,示例性的,如图4所示,在AUSF网元、AF网元、UDM网元、UDR网元、AMF网元、SMF网元或者NEF网元不具有区块链处理功能时,可以通过BCHF网元与区块链系统交互,在此统一说明,以下不再赘述。
可选的,本申请实施例中的BCHF网元可以是独立功能模块,独立于5G网元单独部署,也可以是一个分布式功能模块和5G网元合一部署,本申请实施例对此不作具体限定。
可选的,本申请实施例中的区块链系统、应用服务器或者认证服务功能网元也可以称之为通信装置或通信设备,其可以是一个通用设备或者是一个专用设备,本申请实施例对此不作具体限定。
可选的,本申请实施例中的区块链系统、应用服务器或者认证服务功能网元的相关功能可以由一个设备实现,也可以由多个设备共同实现,还可以是由一个设备内的一个或多个功能模块实现,本申请实施例对此不作具体限定。可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是硬件与软件的结合,或者是平台(例如,云平台)上实例化的虚拟化功能。
例如,本申请实施例中的区块链系统、应用服务器或者认证服务功能网元的相关功能可以通过图5中的通信设备500来实现。图5所示为本申请实施例提供的通信设备500的结构示意图。该通信设备500包括一个或多个处理器501,通信线路502,以及至少一个通信接口(图5中仅是示例性的以包括通信接口504,以及一个处理器501为例进行说明),可选的还可以包括存储器503。
处理器501可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路502可包括一通路,用于连接不同组件之间。
通信接口504,可以是收发模块用于与其他设备或通信网络通信,如以太网,RAN,无线局域网(wireless local area networks,WLAN)等。例如,所述收发模块可以是收发器、收发机一类的装置。可选的,所述通信接口504也可以是位于处理器501内的收发电路,用以实现处理器的信号输入和信号输出。
存储器503可以是具有存储功能的装置。例如可以是只读存储器(read-onlymemory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路502与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器503用于存储执行本申请方案的计算机执行指令,并由处理器501来控制执行。处理器501用于执行存储器503中存储的计算机执行指令,从而实现本申请实施例中提供的认证方法。
或者,可选的,本申请实施例中,也可以是处理器501执行本申请下述实施例提供的认证方法中的处理相关的功能,通信接口504负责与其他设备或通信网络通信,本申请实施例对此不作具体限定。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器501可以包括一个或多个CPU,例如图5中的CPU0和CPU1。
在具体实现中,作为一种实施例,通信设备500可以包括多个处理器,例如图5中的处理器501和处理器508。这些处理器中的每一个可以是一个单核(single-core)处理器,也可以是一个多核(multi-core)处理器。这里的处理器可以包括但不限于以下至少一种:中央处理单元(central processing unit,CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontroller unit,MCU)、或人工智能处理器等各类运行软件的计算设备,每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。
在具体实现中,作为一种实施例,通信设备500还可以包括输出设备505和输入设备506。输出设备505和处理器501通信,可以以多种方式来显示信息。例如,输出设备505可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备506和处理器501通信,可以以多种方式接收用户的输入。例如,输入设备506可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的通信设备500有时也可以称为通信装置,其可以是一个通用设备或者是一个专用设备。例如通信设备500可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant,PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备、上述终端设备,上述网络设备、或具有图5中类似结构的设备。本申请实施例不限定通信设备500的类型。
下面将结合附图,对本申请实施例提供的认证方法进行示例性说明。
需要说明的是,本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
以图2或图3所示的通信系统应用于如图4所示的5G网络为例,如图6所示,为本申请实施例提供的一种认证方法,该方法包括如下步骤:
S601、终端设备向AMF网元发送注册请求(registration request)。相应的,AMF网元接收来自终端设备的注册请求。其中,该注册请求用于终端设备注册到移动网络。注册请求中的相关参数可参考现有技术,在此不再赘述。
可选的,本申请实施例中的注册请求中还可以包括指示信息1。该指示信息1指示通过区块链系统进行安全操作。本申请实施例中,通过区块链系统进行安全操作包括通过区块链系统获得第三方应用对应的AF网元和终端设备之间通信的安全参数(如安全密钥)。可选的,本申请实施例中,通过区块链系统进行安全操作还包括通过区块链系统为第三方应用验证终端设备的合法性,在此统一说明,以下不再赘述。
一种可能的实现方式中,本申请实施例中,可以通过某个信元的数值指示需要通过区块链系统进行安全操作。比如,当某个信元的值为“1”时,可以表征需要通过区块链系统进行安全操作;或者,当某个信元的值为“0”时,可以表征需要通过区块链系统进行安全操作。
另一种可能的实现方式中,本申请实施例中,可以通过某个信元是否存在指示需要通过区块链系统进行安全操作。比如,当某个信元存在时,可以表征需要通过区块链系统进行安全操作。
S602、AMF网元向AUSF网元发送鉴权请求(authentication request)。相应的,AUSF网元接收来自AMF网元的鉴权请求。
本申请实施例中,当步骤S601中的注册请求中包括指示信息1时,步骤S602中的鉴权请求中也包括指示信息1,在此统一说明,以下不再赘述。
S603、AUSF网元向UDM网元发送鉴权获取请求(authentication get request)。相应的,UDM网元接收来自AUSF网元的鉴权获取请求。其中,该鉴权获取请求用于请求获取终端设备的鉴权数据。
S604、UDM网元向AUSF网元发送鉴权获取响应(authentication get response)。相应的,UDM网元接收来自AUSF网元的鉴权获取响应。其中,该鉴权获取响应中包括终端设备的鉴权数据。
可选的,本申请实施例中,鉴权获取响应中可以包括上述指示信息1。该指示信息1指示通过区块链系统进行安全操作。其中,指示信息1的实现方式可参考步骤S601,在此不再赘述。
也就是说,本申请实施例中,AUSF网元获取的指示信息1可以是终端设备通过AMF网元发送的,也可以是UDM网元发送的,本申请实施例对此不做具体限定。
S605、AUSF网元和终端设备进行相互鉴权,协商生成终端设备与AUSF网元之间的密钥(本申请实施例中将终端设备与AUSF网元之间的密钥记作Kausf);以及,AUSF网元为终端设备分配Kausf对应的密钥标识(key identifier,KID)
可选的,本申请实施例中,在AUSF网元和终端设备进行相互鉴权的过程中,终端设备与AUSF网元还可以根据Kausf派生密钥(本申请实施例中将根据Kausf派生的密钥记作Kchain)。示例性的,根据Kausf派生密钥的方式例如可以包括:根据Kausf以及终端设备的全局区块链标识生成Kchain。其中,本申请实施例中,终端设备的全局区块链标识用于在区块链系统唯一标识该终端设备,可以是UDM网元发送给AUSF网元的,也可以是AMF网元发送给AUSF网元的,本申请实施例对此不做具体限定。示例性的,终端设备的全局区块链标识例如可以为区块链系统为终端设备分配的标识,也可以为通用公共用户标识符(genericpublic subscription identifier,GPSI)或者签约永久标识(subscription permanentidentifier,SUPI)。需要说明的时,本申请实施例后续步骤以AF网元与终端设备之间使用移动网络中派生的密钥进行通信为例进行说明。由于后续在获得终端设备和AF网元安全通信的密钥之前,AF网元与终端设备可以使用移动网络中派生的密钥进行通信,因此提升了终端设备的业务安全性。
基于上述步骤S601-S605,终端设备可以注册到移动网络。进一步的,本申请实施例提供的认证方法还可以包括如下步骤S606:
S606、AUSF网元在区块链系统注册。
本申请实施例中,AUSF网元在区块链系统注册第一标识和Kchain。第一标识用于定位终端设备的用户上下文,该第一标识例如可以为终端设备的全局区块链标识或者KID中的至少一个,在此统一说明,以下不再赘述。
本申请实施例中,AUSF网元可以根据指示信息1在区块链系统注册。
需要说明的是,本申请实施例中,AUSF网元在区块链系统注册第一标识和Kchain的过程可以理解为AUSF网元将第一标识和Kchain存储在区块链系统的区块链安全处理模块中的过程,在此统一说明,以下不再赘述。其中,区块链安全处理模块的相关描述可参考具体实施方式前序部分,在此不再赘述。
需要说明的是,为了安全考虑,本申请实施例中,AUSF网元在区块链系统注册Kchain时,AUSF网元需要加密Kchain并将加密后的Kchain发送至区块链系统,进而区块链系统的区块链安全处理模块存储加密后的Kchain。一种可能的实现方式中,AUSF网元加密Kchain的方式例如可以包括:AUSF网元使用区块链系统为区块链安全处理模块分配的公钥加密Kchain。进一步的,后续需要使用Kchain时,区块链安全处理模块使用区块链系统为区块链安全处理模块分配的公钥对应的私钥解密加密后的Kchain从而获得Kchain,在此统一说明,以下不再赘述。当然,也可以通过其他方式加密Kchain以及解密加密后的Kchain,本申请实施例对此不做具体限定。
需要说明的是,本申请实施例中,AUSF网元可以直接与区块链系统交互,也可以通过BCHF网元与区块链系统交互,本申请实施例对此不做具体限定。其中,在AUSF网元通过BCHF网元与区块链系统交互的情况下,BCHF网元可以向区块链系统注册BCHF网元的地址,以使得后续区块链系统可以根据BCHF网元的地址与该BCHF网元进行交互,本申请实施例对此不做具体限定。此外,需要说明的是,本申请实施例中,BCHF网元与区块链系统交互时,还可能经过NEF网元的转发,本申请实施例对此不做具体限定。上述说明同样适用于后续图7和图8所示的实施例,在此统一说明,以下不再赘述。
基于步骤S606,AUSF网元可以注册到区块链系统。进一步的,本申请实施例提供的认证方法还包括通过区块链系统进行安全操作的过程,包括如下步骤:
S607、终端设备向AF网元发送登录请求。相应的,AF网元接收来自终端设备的登录请求。其中,该登录请求用于请求登录该AF网元对应的第三方应用。
本申请实施例中,该登录请求包括第一标识。可选的,该登录请求还可以包括使用Kchain加密的参数和/或消息。其中,本申请实施例中,使用Kchain加密的参数和/或消息可以表示:单独存在使用Kchain加密的参数,单独存在使用Kchain加密的消息、同时存在使用Kchain加密的参数和消息这三种情况,在此统一说明,该说明适用于本申请所有实施例,以下不再赘述。
本申请实施例中,加密的参数例如可以是终端设备选择的随机数、第一标识、或者终端设备和区块链系统约定的值,本申请实施例对此不做具体限定。加密的消息例如可以是注册消息。第一标识的相关描述可参考上述步骤S606,在此不再赘述。
S608、AF网元向区块链系统发送验证请求(validate request)1。相应的,区块链系统接收来自AF网元的验证请求1。
本申请实施例中,该验证请求1包括步骤S607中的第一标识。可选的,该验证请求1还可以包括步骤S607中使用Kchain加密的参数和/或消息。
可选的,该验证请求1还可以包括第三方应用的应用标识(APP ID)。该应用标识可以包括在验证请求1的消息体中,也可以包括在验证请求1的消息头中,还可以以APP的数字签名的形式表达,本申请实施例对此不做具体限定。
可选的,本申请实施例中,当验证请求1包括步骤S607中的第一标识以及使用Kchain加密的参数和/或消息时,本申请实施例提供的认证方法还包括如下步骤S609:
S609、区块链系统为第三方应用验证终端设备的合法性。
其中,本申请实施例中,区块链系统可以根据第一标识确定终端设备的用户上下文。进而区块链系统可以根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为第三方应用验证终端设备的合法性。
可选的,本申请实施例中,区块链系统根据第一标识,确定终端设备的用户上下文包括:区块链系统根据所述第一标识,确定区块链系统中存储的Kchain。一种可能的实现方式中,区块链系统可以根据第一标识以及第一标识和终端设备的用户上下文的对应关系,确定区块链系统中存储的终端设备的用户上下文,进一步的区块链系统可以确定终端设备的用户上下文中的Kchain(即AUSF网元在区块链系统中存储的Kchain)。示例性的,区块链系统确定终端设备的用户上下文中的Kchain例如可以包括:区块链系统可以根据终端设备的用户上下文中的第一标识和Kchain的对应关系,确定Kchain。
本申请实施例中,区块链系统根据Kchain,以及终端设备使用第一密钥加密的参数和/或消息,为第三方应用验证终端设备的合法性,包括:区块链系统可以使用Kchain解密终端设备发送的使用Kchain加密的参数和/或消息。在终端设备发送使用Kchain加密的参数,未发送使用Kchain加密的消息的情况下,若解密后的参数符合区块链系统预配置的终端设备和区块链系统交互使用的参数格式或者数值,或者解密后的参数符合终端设备和区块链系统约定的参数,则认为终端设备合法。在终端设备发送使用Kchain加密的消息,未发送使用Kchain加密的参数的情况下,若解密后的消息格式符合区块链系统预配置的终端设备和区块链系统交互使用的消息格式,则认为终端设备合法。在终端设备发送使用Kchain加密的消息,且发送使用Kchain加密的参数的情况下,若解密后的消息格式符合区块链系统预配置的终端设备和区块链系统交互使用的消息格式;并且解密后的参数符合区块链系统预配置的终端设备和区块链系统交互使用的参数格式或者数值,或者解密后的参数符合终端设备和区块链系统约定的参数,则认为终端设备合法。
示例性的,以终端设备和区块链系统约定的参数为APP ID为例,区块链系统解密终端设备发送的使用Kchain加密的参数后,确定解密后的参数是否与AF网元发送的APP ID一致,若一致则认为终端设备合法,若不一致则认为终端设备不合法。其中,一种可能的实现方式中,终端设备可以通过域名系统(domain name system,DNS)查询获得APP ID,当然,终端设备也可以通过其他方式获得APP ID,本申请实施例对此不做具体限定。
进一步的,本申请实施例中,区块链系统接收来自AF网元的验证请求1之后,需要为第三方应用对应的AF网元和终端设备之间的通信提供安全密钥,包括如下步骤:
S610、区块链系统根据Kchain生成用于终端设备和AF网元安全通信的密钥(本申请实施例中用于终端设备和AF网元安全通信的密钥记作Kapp)。
其中,本申请实施例中,区块链系统可以根据第一标识确定相应的用户上下文。该用户上下文中包括AUSF网元在区块链系统中存储的Kchain。
可选的,若本申请实施例执行上述步骤S609,则在区块链系统验证终端设备合法后,区块链系统根据Kchain生成Kapp。否则,若区块链系统验证终端设备不合法,则可以终止终端设备访问第三方应用的流程。基于该方案,可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,区块链系统仍然生成Kapp并向AF网元下发Kapp所造成的资源消耗与信令浪费。
可选的,本申请实施例中,当验证请求1包括APP ID时,区块链系统还可以将APPID作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,区块链系统还可以将第一标识作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,在终端设备发送使用Kchain加密的参数的情况下,区块链系统还可以将解密后的参数作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的Kapp也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与AF网元之间的安全通信。
S611、区块链系统向AF网元发送验证响应(validate response)1。相应的,AF网元接收来自区块链系统的验证响应1。
其中,该验证响应1包括上述Kapp。可选的,该验证响应1还可以包括Kapp的有效期。当Kapp的有效期结束后,终端设备和AF网元之间可以发起Kapp的重协商流程,使得AF网元再次通过区块链系统获取Kapp,具体流程可参考上述实施例,在此不再赘述。
可选的,本申请实施例中,当验证请求1包括使用Kchain加密的参数和/或消息时,该验证响应1还可以包括使用Kchain解密后的参数和/或消息,该使用Kchain解密后的参数和/或消息用于后续验证网络的安全性,本申请实施例对此不做具体限定。
S612、AF网元向终端设备发送登录响应。相应的,终端设备接收来自AF网元的登录响应。
本申请实施例中,当登录请求中包括使用Kchain加密的消息,例如注册请求时,该登录响应中可以包括根据使用Kchain解密后的注册请求获得的注册接受消息。可选的,当验证响应1包括Kapp的有效期时,该注册接受消息中可以包括Kapp的有效期。
可选的,本申请实施例中,当登录请求中包括使用Kchain加密的参数时,该登录响应中可以包括使用Kchain解密后的参数。进而终端设备接收到登录响应后,可以读取登录响应中包括的使用Kchain解密后的参数,并将登录响应中包括的使用Kchain解密后的参数与中终端设备向AF网元发送登录请求之前未加密的参数进行比较,若二者一致则认为终端设备对网络侧的验证通过(即终端设备确认网络安全)。
可选的,本申请实施例中,登录响应中的消息或参数可以使用Kapp进行加密,从而可以保证终端设备与AF网元之间的安全通信。
本申请实施例中,当终端设备接收到登录响应后,可以在后续与AF网元的信息交互流程中,使用本地生成的Kapp加密关键信息。其中,终端设备生成Kapp的方式与区块链系统生成Kapp的方式一致,在此不再赘述。此外,需要说明的是,若本申请实施例未执行上述步骤S609(即区块链系统未利用Kchain为第三方应用验证终端设备的合法性),则也可以通过后续流程验证终端设备的合法性。比如,由于Kapp是由Kchain派生的,如果终端设备合法,则该终端设备可以获得正确Kchain,进而终端设备生成的Kapp与AF网元获得的Kapp相同,后续终端设备与AF网元之间利用Kapp进行安全通信会成功。反之,如果终端设备不合法,则该终端设备无法获得正确Kchain,进而终端设备生成的Kapp不同于AF网元获得的Kapp,后续终端设备与AF网元之间利用Kapp进行安全通信会失败,从而保护了合法终端设备的利益。
可选的,本申请实施例中,当登录响应中未包括使用Kchain解密后的参数时,由于后续终端设备和AF网元均可以利用Kapp加密信息,因此终端设备也可以通过后续的消息交互验证网络侧是否合法,本申请实施例对此不做具体限定。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得AF网元通过该接口与区块链系统交互,通过区块链系统进行安全操作,如为第三方应用对应的AF网元和终端设备之间的通信提供安全密钥、为第三方应用验证终端设备的合法性等,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S601至S612中AUSF网元、AF网元或者区块链系统的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令AUSF网元、AF网元或者区块链系统执行,本实施例对此不作任何限制。
可选的,以图2或图3所示的通信系统应用于如图4所示的5G网络为例,如图7所示,为本申请实施例提供的一种认证方法,该方法包括如下步骤:
S701-S705、同图6所示的实施例中的步骤S601-S605,相关描述可参考图6所示的实施例,在此不再赘述。
基于上述步骤S701-S705,终端设备可以注册到移动网络。进一步的,本申请实施例提供的认证方法还可以包括如下步骤S706:
S706、AUSF网元在区块链系统注册。
本申请实施例中,AUSF网元可以根据指示信息1在区块链系统注册。
一种可能的实现方式中,本申请实施例中,AUSF网元在区块链系统注册时,可以注册第一标识和Kchain。
又一种可能的实现方式中,在AUSF网元可以获取Kchain的情况下,本申请实施例中,AUSF网元在区块链系统注册时,可以注册AUSF网元的地址、第一标识和Kchain。需要说明的是,本申请实施例中,AUSF网元在区块链系统注册第一标识和Kchain的过程可以理解为AUSF网元将第一标识和Kchain存储在区块链系统的区块链安全处理模块中的过程;AUSF网元在区块链系统注册AUSF网元的地址、第一标识和Kchain的过程可以理解为AUSF网元将AUSF网元的地址、第一标识和Kchain存储在区块链系统的区块链安全处理模块中的过程在此统一说明,以下不再赘述。
需要说明的是,为了安全考虑,本申请实施例中,AUSF网元在区块链系统注册Kchain时,AUSF网元需要加密Kchain并将加密后的Kchain发送至区块链系统,进而区块链系统的区块链安全处理模块存储加密后的Kchain。相关实现可参考图6所示的实施例中的步骤S606,在此不再赘述。
基于步骤S706,AUSF网元可以注册到区块链系统。进一步的,本申请实施例提供的认证方法还包括通过区块链系统进行安全操作的过程,包括如下步骤:
S707、终端设备向AF网元发送登录请求。相应的,AF网元接收来自终端设备的登录请求。其中,该登录请求用于请求登录该AF网元对应的第三方应用。
本申请实施例中,该登录请求包括第一标识、使用Kchain加密的参数和/或消息。其中,加密的参数例如可以是终端设备选择的随机数、第一标识、或者终端设备和区块链系统约定的值,本申请实施例对此不做具体限定。加密的消息例如可以是注册消息。第一标识的相关描述可参考图6所示的实施例中的步骤S606,在此不再赘述。
S708、AF网元向区块链系统发送验证请求(validate request)1。相应的,区块链系统接收来自AF网元的验证请求1。
本申请实施例中,该验证请求1包括步骤S607中的第一标识、以及使用Kchain加密的参数和/或消息。
可选的,该验证请求1还可以包括第三方应用的应用标识(APP ID)。该应用标识可以包括在验证请求1的消息体中,也可以包括在验证请求1的消息头中,还可以以APP的数字签名的形式表达,本申请实施例对此不做具体限定。
S709、区块链系统为第三方应用验证终端设备的合法性。
其中,步骤S709的具体实现可参考图6所示的实施例中的步骤S609,在此不再赘述。
S710、在区块链系统验证终端设备合法后,区块链系统向AUSF网元发送验证请求2。相应的,AUSF网元接收来自区块链系统的验证请求2。
其中,该验证请求2包括第一标识。可选的,该验证请求2还可以包括第三方应用的应用标识(APP ID)。可选的,该验证请求2还可以包括终端设备发送的使用Kchain加密的参数和/或消息,本申请实施例对此不做具体限定。
一种可能的实现方式中,本申请实施例中,若AUSF网元已经在区块链系统注册AUSF网元的地址,则区块链系统向AUSF网元发送验证请求2之前,可以根据第一标识确定相应的用户上下文。该用户上下文中包括AUSF网元在区块链系统注册的AUSF网元的地址。进而,区块链系统可以根据该AUSF网元的地址确定相应的AUSF网元。
另一种可能的实现方式中,本申请实施例中,若AUSF网元未在区块链系统注册AUSF网元的地址,则本申请实施例中的登录请求和验证请求1中还可以包括服务终端设备的网络标识。进而,区块链系统向AUSF网元发送验证请求2之前,可以根据该网络标识确定服务终端设备的AUSF网元,本申请实施例对此不作具体限定。示例性的,本申请实施例中的网络标识例如可以是公共陆地移动网络(public land mobile network,PLMN),或者域名(比如CMCC.com),本申请实施例对此不做具体限定。此外,需要说明的是,本申请实施例中的网络标识可以是一个独立的信元,也可以是包括在其他信元中的信息,本申请实施例对此不做具体限定。
需要说明的是,本申请实施例中,区块链系统可以直接与AUSF网元交互,也可以通过BCHF网元与AUSF网元交互,本申请实施例对此不做具体限定。上述两种实现方式均是示例性的以区块链系统寻址AUSF网元为例进行说明。当然,若区块链系统通过BCHF网元与AUSF网元交互,则区块链系统也可以通过类似的方式寻址BCHF网元,本申请实施例在此不再赘述。
S711、AUSF网元根据Kchain或者Kausf生成用于终端设备和AF网元安全通信的密钥(本申请实施例中用于终端设备和AF网元安全通信的密钥记作Kapp)。
其中,本申请实施例中,区块链系统可以根据第一标识确定相应的用户上下文。该用户上下文中包括AUSF网元生成的Kchain或者Kausf。
可选的,本申请实施例中,当验证请求1包括APP ID时,AUSF网元还可以将APP ID作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,AUSF网元还可以将第一标识作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,在终端设备发送使用Kchain加密的参数的情况下,AUSF网元还可以将解密后的参数作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的Kapp也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与AF网元之间的安全通信。
S712、AUSF网元向区块链系统发送验证响应2。相应的,区块链系统接收来自AUSF网元的验证响应2。其中,该验证响应2包括Kapp。可选的,该验证响应2还可以包括Kapp的有效期。当Kapp的有效期结束后,终端设备和AF网元之间可以发起Kapp的重协商流程,使得AF网元再次通过区块链系统获取Kapp,具体流程可参考上述实施例,在此不再赘述。
可选的,本申请实施例中,当验证请求2包括使用Kchain加密的参数和/或消息时,该验证响应2还可以包括使用Kchain解密后的参数和/或消息,该使用Kchain解密后的参数和/或消息用于后续验证网络的安全性,本申请实施例对此不做具体限定。
S713、区块链系统向AF网元发送验证响应1。相应的,AF网元接收来自区块链系统的验证响应1。该验证响应1中包括步骤S712中验证响应2中的参数,如Kapp、Kapp的有效期(可选)、以及使用Kchain解密后的参数和/或消息(可选)。
当然,本申请实施例中,若验证请求2中不包括使用Kchain加密的参数和/或消息,则验证响应1中还可以包括使用Kchain解密后的参数和/或消息,该使用Kchain解密后的参数和/或消息用于后续验证网络的安全性,本申请实施例对此不做具体限定。
S714、AF网元向终端设备发送登录响应。相应的,终端设备接收来自AF网元的登录响应。
其中,步骤S714的具体实现可参考图6所示的实施例中的步骤S612,在此不再赘述。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得AF网元通过该接口与区块链系统交互,通过区块链系统进行安全操作,如为第三方应用对应的AF网元和终端设备之间的通信提供安全密钥、为第三方应用验证终端设备的合法性等,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。此外,本申请实施例中,在区块链系统为第三方应用验证终端设备合法,这样可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,AUSF网元仍然生成Kapp并通过区块链系统向AF网元发送Kapp所造成的资源消耗与信令浪费。
其中,上述步骤S701至S714中AUSF网元、AF网元或者区块链系统的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令AUSF网元、AF网元或者区块链系统执行,本实施例对此不作任何限制。
可选的,以图2或图3所示的通信系统应用于如图4所示的5G网络为例,如图8所示,为本申请实施例提供的一种认证方法,该方法包括如下步骤:
S801-S805、同图6所示的实施例中的步骤S601-S605,相关描述可参考图6所示的实施例,在此不再赘述。
基于上述步骤S801-S805,终端设备可以注册到移动网络。进一步的,可选的,本申请实施例提供的认证方法还可以包括如下步骤S806:
S806、AUSF网元在区块链系统注册。
本申请实施例中,AUSF网元在区块链系统注册第一标识和AUSF网元的地址。第一标识的描述可参考图6所示的实施例中的步骤S606,在此不再赘述。
本申请实施例中,AUSF网元可以根据指示信息1在区块链系统注册。
需要说明的是,本申请实施例中,AUSF网元在区块链系统注册第一标识和AUSF网元的地址的过程可以理解为AUSF网元将第一标识和AUSF网元的地址存储在区块链系统的区块链安全处理模块中的过程,在此统一说明,以下不再赘述。
基于步骤S806,AUSF网元可以注册到区块链系统。进一步的,本申请实施例提供的认证方法还包括通过区块链系统进行安全操作的过程,包括如下步骤:
S807-S808、同图6所示的实施例中的步骤S607-S608,相关描述可参考图6所示的实施例,在此不再赘述。
S809、区块链系统向AUSF网元发送验证请求2。相应的,AUSF网元接收来自区块链系统的验证请求2。其中,该验证请求2包括步骤S808中验证请求1中的参数,如第一标识、以及使用Kchain加密的参数和/或消息(可选)。
可选的,该验证请求2还可以包括第三方应用的应用标识(APP ID)。
本申请实施例中,若执行上述步骤S806,即AUSF网元在区块链系统注册AUSF网元的地址,则区块链系统向AUSF网元发送验证请求2之前,可以根据第一标识确定相应的用户上下文。该用户上下文中包括AUSF网元在区块链系统注册的AUSF网元的地址。进而,区块链系统可以根据该AUSF网元的地址确定相应的AUSF网元。
本申请实施例中,若未执行上述步骤S806,此时,本申请实施例中的登录请求和验证请求1中还可以包括服务终端设备的网络标识。进而,区块链系统向AUSF网元发送验证请求2之前,可以根据该网络标识确定服务终端设备的AUSF网元。相关描述可参考图7所示的实施例中的步骤S710,在此不再赘述。
S810、AUSF网元根据Kchain或者Kausf生成用于终端设备和AF网元安全通信的密钥(本申请实施例中用于终端设备和AF网元安全通信的密钥记作Kapp)。
其中,本申请实施例中,区块链系统可以根据第一标识确定相应的用户上下文。该用户上下文中包括AUSF网元生成的Kchain或者Kausf。
可选的,本申请实施例中,当验证请求1包括APP ID时,AUSF网元还可以将APP ID作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,AUSF网元还可以将第一标识作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。
可选的,本申请实施例中,在终端设备发送使用Kchain加密的参数的情况下,AUSF网元还可以将解密后的参数作为生成Kapp的输入参数之一,本申请实施例对此不做具体限定。由于解密后的参数例如可以包括终端设备选择的随机数,而随机数具有随机性,因此基于该随机数生成的Kapp也更具灵活性,不容易被攻击者攻击,从而进一步保证了终端设备与AF网元之间的安全通信。
可选的,本申请实施例中,在终端设备发送使用Kchain加密的参数和/或消息,并且验证请求2中包括使用Kchain加密的参数和/或消息的情况下,AUSF网元还可以为第三方应用验证终端设备的合法性,在AUSF网元验证终端设备合法后,AUSF网元根据Kchain或者Kausf生成Kapp,若AUSF网元验证终端设备不合法,则可以终止终端设备访问第三方应用的流程。基于该方案,可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,AUSF网元仍然生成Kapp并通过区块链系统向AF网元下发Kapp所造成的资源消耗与信令浪费。
本申请实施例中,AUSF网元为第三方应用验证终端设备的合法性的方式例如可以为:AUSF网元可以根据第一标识确定终端设备的用户上下文。进而AUSF网元可以根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为第三方应用验证终端设备的合法性。
可选的,本申请实施例中,AUSF网元根据第一标识,确定终端设备的用户上下文包括:AUSF网元根据所述第一标识,确定AUSF网元中存储的Kchain。一种可能的实现方式中,AUSF网元可以根据第一标识以及第一标识和终端设备的用户上下文的对应关系,确定AUSF网元中存储的终端设备的用户上下文,进一步的AUSF网元可以确定终端设备的用户上下文中的Kchain。示例性的,AUSF网元确定终端设备的用户上下文中的Kchain例如可以包括:AUSF网元可以根据终端设备的用户上下文中的第一标识和Kchain的对应关系,确定Kchain。
本申请实施例中,AUSF网元根据Kchain,以及终端设备使用第一密钥加密的参数和/或消息,为第三方应用验证终端设备的合法性,包括:AUSF网元可以使用Kchain解密终端设备发送的使用Kchain加密的参数和/或消息。其中,在终端设备发送使用Kchain加密的参数,未发送使用Kchain加密的消息的情况下,若解密后的参数符合预配置的终端设备和AUSF网元交互使用的参数格式或者数值,或者解密后的参数符合终端设备和AUSF网元约定的参数,则认为终端设备合法。在终端设备发送使用Kchain加密的消息,未发送使用Kchain加密的参数的情况下,若解密后的消息格式符合预配置的终端设备和AUSF网元交互使用的消息格式,则认为终端设备合法。在终端设备发送使用Kchain加密的消息,且发送使用Kchain加密的参数的情况下,若解密后的消息格式符合预配置的终端设备和AUSF网元交互使用的消息格式;并且解密后的参数符合预配置的终端设备和AUSF网元交互使用的参数格式或者数值,或者解密后的参数符合终端设备和AUSF网元约定的参数,则认为终端设备合法。
示例性的,以终端设备和AUSF网元约定的参数为APP ID为例,AUSF网元解密终端设备发送的使用Kchain加密的参数后,确定解密后的参数是否与AF网元发送的APP ID一致,若一致则认为终端设备合法,若不一致则认为终端设备不合法。其中,一种可能的实现方式中,终端设备可以通过DNS查询获得APP ID,当然,终端设备也可以通过其他方式获得APP ID,本申请实施例对此不做具体限定。
S811-S813、同图7所示的实施例中的步骤S712-S714,相关描述可参考图7所示的实施例,在此不再赘述。
需要说明的是,若本申请实施例中,AUSF网元未为第三方应用验证终端设备的合法性,则也可以通过后续流程验证终端设备的合法性。比如,由于Kapp是由Kchain派生的,如果终端设备合法,则该终端设备可以获得正确Kchain,进而终端设备生成的Kapp与AF网元获得的Kapp相同,后续终端设备与AF网元之间利用Kapp进行安全通信会成功。反之,如果终端设备不合法,则该终端设备无法获得正确Kchain,进而终端设备生成的Kapp不同于AF网元获得的Kapp,后续终端设备与AF网元之间利用Kapp进行安全通信会失败,从而保护了合法终端设备的利益。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得AF网元通过该接口与区块链系统交互,通过区块链系统进行安全操作,如为第三方应用对应的AF网元和终端设备之间的通信提供安全密钥、为第三方应用验证终端设备的合法性等,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S801至S813中AUSF网元、AF网元或者区块链系统的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令AUSF网元、AF网元或者区块链系统执行,本实施例对此不作任何限制。
如图9所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S901、区块链系统接收来自应用服务器的第一消息,该第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息。
示例性的,本申请实施例中的应用服务器例如可以为图6或图7所示的实施例中的AF网元,本申请实施例中的区块链系统例如可以为图6或图7所示的实施例中的区块链系统。
示例性的,本申请实施例中的第一消息例如可以为图6所示的实施例中步骤S608中的验证请求1;或者,本申请实施例中的第一消息例如可以为图7所示的实施例中步骤S708中的验证请求2。
S902、区块链系统根据所述第一标识,确定终端设备的用户上下文。
S903、区块链系统根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备的合法性。
示例性的,步骤S902-S903的具体实现可参考图6所示的实施例中步骤S609或者图7所示的实施例中步骤S709,在此不再赘述。
一方面,本申请实施例中,在区块链系统为第三方应用验证终端设备合法,这样可以在终端设备访问第三方应用不合法时,及时终止访问流程,避免了终端设备访问第三方应用不合法时,继续执行后续流程(如继续为第三方应用对应的应用服务器和终端设备之间的通信提供安全密钥)所造成的资源消耗与信令浪费。另一方面,相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如为第三方应用验证终端设备的合法性),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S901至S903中区块链系统的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令区块链系统执行,本实施例对此不作任何限制。
如图10所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S1001、区块链系统接收来自应用服务器的第一消息,该第一消息包括第一标识。
示例性的,本申请实施例中的应用服务器例如可以为图6所示的实施例中的AF网元,本申请实施例中的区块链系统例如可以为图6所示的实施例中的区块链系统。
示例性的,本申请实施例中的第一消息例如可以为图6所示的实施例中步骤S608中的验证请求1。
S1002、区块链系统根据第一标识,确定终端设备的用户上下文,该终端设备的用户上下文中包括第一密钥。
示例性的,本申请实施例中的第一密钥例如可以为图6所示的实施例中的Kchain。
S1003、区块链系统生成第三密钥,该第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥。
示例性的,本申请实施例中的第三密钥例如可以为图6所示的实施例中的Kapp。
其中,步骤S1002-S1003的具体实现可参考图6所示的实施例中步骤S610,在此不再赘述。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如通过该区块链系统获得该应用服务器和该终端设备之间通信的安全参数),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S1001至S1003中区块链系统的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令区块链系统执行,本实施例对此不作任何限制。
如图11所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S1101、认证服务功能网元获取指示信息,该指示信息指示通过区块链系统进行安全操作。
示例性的,本申请实施例中的认证服务功能网元例如可以为图6至图8所示的实施例中的AUSF网元,本申请实施例中的区块链系统例如可以为图6至图8所示的实施例中的区块链系统。
示例性的,本申请实施例中,认证服务功能网元获取指示信息的方式可参考图6所示的实施例中步骤S604的描述,在此不再赘述。
S1102、认证服务功能网元根据指示信息,向区块链系统发送第三消息,该第三消息包括第一信息,用于请求将第一信息存储在终端设备的用户上下文中,其中,第一信息为应用服务器通过所述区块链系统进行安全操作时所需的信息。
示例性的,本申请实施例中的应用服务器例如可以为图6至图8所示的实施例中的AF网元。
示例性的,本申请实施例中的第三消息例如可以为图6所示的实施例步骤S606中AUSF网元在区块链系统注册时AUSF网元向区块链系统发送的消息。相应的,第一信息可以为图6所示的实施例步骤S606中AUSF网元在区块链系统注册的第一标识和Kchain。
或者,示例性的,本申请实施例中的第三消息例如可以为图7所示的实施例步骤S706中AUSF网元在区块链系统注册时AUSF网元向区块链系统发送的消息。相应的,第一信息可以为图7所示的实施例步骤S706中AUSF网元在区块链系统注册的第一标识和Kchain,或者,第一信息可以为图7所示的实施例步骤S706中AUSF网元在区块链系统注册的第一标识、Kchain和AUSF网元的地址。
或者,示例性的,本申请实施例中的第三消息例如可以为图8所示的实施例步骤S806中AUSF网元在区块链系统注册时AUSF网元向区块链系统发送的消息。相应的,第一信息可以为图8所示的实施例步骤S806中AUSF网元在区块链系统注册的第一标识和AUSF网元的地址。
其中,步骤S1102的具体实现可参考图6所示的实施例中步骤S606或者图7所示的实施例中步骤S706或者图8所示的实施例中步骤S806,在此不再赘述。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例中,认证服务功能网元可以向区块链系统发送应用服务器通过区块链系统进行安全操作时所需的信息,因此可以使得后续应用服务器可以通过区块链系统进行安全操作。也就是说,本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作,因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S1101至S1102中认证服务功能网元的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令认证服务功能网元执行,本实施例对此不作任何限制。
如图12所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S1201、认证服务功能网元接收来自区块链系统的第二消息,该第二消息包括第一标识。
示例性的,本申请实施例中的认证服务功能网元例如可以为图7或图8所示的实施例中的AUSF网元,本申请实施例中的区块链系统例如可以为图7或图8所示的实施例中的区块链系统。
示例性的,本申请实施例中的第二消息例如可以为图7所示的实施例中步骤S710中的验证请求2;或者,本申请实施例中的第二消息例如可以为图8所示的实施例中步骤S809中的验证请求2。
S1202、认证服务功能网元根据第一标识,确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥或第二密钥;第一密钥是根据第二密钥派生得到的,第二密钥为用于终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
示例性的,本申请实施例中的第一密钥例如可以为图7或图8所示的实施例中的Kchain,第二密钥例如可以为图7或图8所示的实施例中的Kausf。
S1203、认证服务功能网元生成第三密钥,该第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥或第二密钥。
示例性的,本申请实施例中的应用服务器例如可以为图7或图8所示的实施例中的AF网元。
示例性的,本申请实施例中的第一密钥例如可以为图7或图8所示的实施例中的Kapp。
示例性的,步骤S1202-S1203的具体实现可参考图7所示的实施例中步骤S711或者图8所示的实施例中步骤S810,在此不再赘述。
S1204、认证服务功能网元向区块链系统发送第三密钥。
示例性的,步骤S1204的具体实现可参考图7所示的实施例中步骤S712或者图8所示的实施例中步骤S811,在此不再赘述。
相比较现有AKMA方案中应用方AApF网元需要一一配置与不同网络中AAuF网元的接口以及接口地址的方式,由于本申请实施例可以由区块链系统提供统一的跨域认证接口,使得应用服务器通过该接口与区块链系统交互,通过区块链系统进行安全操作(如通过该区块链系统获得该应用服务器和该终端设备之间通信的安全参数),因此不仅简化了第三方应用的配置,而且避免了第三方应用方和运营商一一谈判,并部署网元规划路由的问题,提高了第三方应用方的效率。
其中,上述步骤S1201至S1204中认证服务功能网元的动作可以由图5所示的通信设备500中的处理器501调用存储器503中存储的应用程序代码以指令认证服务功能网元执行,本实施例对此不作任何限制。
可以理解的是,图6至图12所示的实施例中,由区块链系统实现的方法和/或步骤,也可以由可用于区块链系统的部件(例如区块链系统中的一个或多个区块链装置)实现;由认证服务功能网元(如图6至图8所示的实施例中的AUSF网元、或者如图11至图12所示的实施例中的认证服务功能网元)实现的方法和/或步骤,也可以由可用于认证服务功能网元的部件(例如芯片或者电路)实现。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。相应的,本申请实施例还提供了通信装置,该通信装置可以为上述方法实施例中的区块链系统中的一个或多个区块链装置,或者包含上述区块链系统的装置,或者为可用于上述区块链装置的部件;或者,该通信装置可以为上述方法实施例中的认证服务功能网元,或者包含上述认证服务功能网元的装置,或者为可用于认证服务功能网元的部件。可以理解的是,该通信装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
图13示出了一种通信装置130的结构示意图。该通信装置130包括收发模块1301和处理模块1302。所述收发模块1301,也可以称为收发单元用以实现收发功能,例如可以是收发电路,收发机,收发器或者通信接口。
以通信装置130为上述方法实施例中的区块链系统中的一个或多个区块链装置或者设置在该区块链装置中的芯片或其他部件为例,一种可能的实现方式中:
收发模块1301,用于接收来自应用服务器的第一消息,第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息。处理模块1302,用于根据第一标识,确定终端设备的用户上下文。处理模块1302,还用于根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备的合法性。
可选的,终端设备的用户上下文中包括第一密钥,处理模块1302,用于根据第一标识,确定终端设备的用户上下文包括:用于根据第一标识,确定第一密钥。
可选的,处理模块1302,用于根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数或消息,为应用服务器对应的第三方应用验证终端设备的合法性,包括:用于使用第一密钥对终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当解密后的参数符合预配置的终端设备和区块链系统交互使用的参数格式或者数值,和/或解密后的消息符合预配置的终端设备和区块链系统交互使用的消息格式,确定终端设备合法。
可选的,第一标识包括终端设备的全局区块链标识或者第二密钥对应的密钥标识KID中的至少一个,该第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
可选的,第一密钥是根据第二密钥派生得到的,第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
可选的,处理模块1302,还用于在验证终端设备合法后,获取第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥。收发模块1301,还用于向应用服务器发送第三密钥。
可选的,终端设备的用户上下文中包括第一密钥;处理模块1302,用于获取第三密钥,包括:用于生成第三密钥,其中,生成第三密钥的输入参数中包括第一密钥。
可选的,处理模块1302,用于获取第三密钥,包括:用于通过收发模块1301向认证服务功能网元发送第二消息,第二消息包括第一标识,第一标识用于确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥或第二密钥,该第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥;通过收发模块1301接收来自认证服务功能网元第三密钥,其中,生成第三密钥的输入参数中包括第一密钥或第二密钥。
可选的,生成第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,第二标识为第三方应用的应用标识,解密后的参数是使用第一密钥对终端设备使用第一密钥加密的参数进行解密后获得的参数。
可选的,收发模块1301,还用于在接收来自应用服务器的第一消息之前,接收来自认证服务功能网元的第三消息,第三消息请求将第一密钥、第一标识和认证服务功能网元的地址存储在终端设备的用户上下文中。处理模块1302,还用于将第一密钥、第一标识和认证服务功能网元的地址存储在终端设备的用户上下文中。
可选的,收发模块1301,还用于在接收来自应用服务器的第一消息之前,接收来自认证服务功能网元的第三消息,第三消息请求将第一密钥和第一标识存储在终端设备的用户上下文中;处理模块1302,还用于将第一密钥和第一标识存储在终端设备的用户上下文中。
以通信装置130为上述方法实施例中的区块链系统中的一个或多个区块链装置或者设置在该区块链装置中的芯片或其他部件为例,另一种可能的实现方式中:
收发模块1301,用于接收来自应用服务器的第一消息,第一消息包括第一标识。处理模块1302,用于根据第一标识,确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥。处理模块1302,还用于生成第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥。
可选的,第一密钥是根据第二密钥派生得到的,第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
可选的,第一消息还包括第二标识和/或终端设备使用第一密钥加密的参数,第二标识为应用服务器对应的第三方应用的应用标识;相应的,生成第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,解密后的参数是使用第一密钥对终端设备使用第一密钥加密的参数进行解密后获得的参数。
可选的,收发模块1301,还用于在接收来自应用服务器的第一消息之前,接收来自认证服务功能网元的第三消息,第三消息请求将第一密钥和第一标识存储在终端设备的用户上下文中。处理模块1302,还用于将第一密钥和第一标识存储在终端设备的用户上下文中。
以通信装置130为上述方法实施例中的认证服务功能网元或者设置在该认证服务功能网元中的芯片或其他部件为例,一种可能的实现方式中:
处理模块1302,用于获取指示信息,指示信息指示通过区块链系统进行安全操作。收发模块1301,用于根据指示信息,向区块链系统发送第三消息,第三消息包括第一信息,用于请求将第一信息存储在终端设备的用户上下文中,其中,第一信息为应用服务器通过区块链系统进行安全操作时所需的信息。
可选的,第一信息包括第一标识和认证服务功能网元的地址;或者,第一信息包括第一标识和第一密钥;或者,第一信息包括第一标识、第一密钥和认证服务功能网元的地址;其中,第一标识用于确定终端设备的用户上下文,第一密钥是根据第二密钥派生得到的,第二密钥为终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
可选的,第一标识包括终端设备的全局区块链标识或者第二密钥对应的密钥标识KID中的至少一个。
可选的,处理模块1302,用于获取指示信息,包括:用于通过收发模块1301接收来自终端设备的指示信息;或者,用于通过收发模块1301接收来自统一数据管理网元的指示信息。
可选的,收发模块1301,还用于在向区块链系统发送第三消息之后,接收来自区块链系统的第二消息,第二消息包括第一标识。处理模块1302,还用于根据第一标识,确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥或第二密钥;第一密钥是根据第二密钥派生得到的,第二密钥为用于终端设备与认证服务功能网元之间鉴权成功后生成的密钥。处理模块1302,还用于生成第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥或第二密钥。收发模块1301,还用于向区块链系统发送第三密钥。
可选的,第二消息还包括第二标识和/或终端设备使用第一密钥加密的参数,第二标识为应用服务器对应的第三方应用的应用标识;相应的,生成第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,解密后的参数是使用第一密钥对终端设备使用第一密钥加密的参数进行解密后获得的参数。
可选的,第二消息还包括终端设备使用第一密钥加密的参数和/或消息。处理模块1302,还用于在生成第三密钥之前,根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备合法。
可选的,终端设备的用户上下文中包括第一密钥;处理模块1302,用于根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数或消息,为应用服务器对应的第三方应用验证终端设备合法,包括:用于使用第一密钥对终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当解密后的参数符合预配置的终端设备和认证服务功能网元交互使用的参数格式或者数值,和/或解密后的消息符合预配置的终端设备和认证服务功能网元交互使用的消息格式,确定终端设备合法。
可选的,通过区块链系统进行安全操作包括通过区块链系统获得应用服务器和终端设备之间通信的安全参数。
可选的,通过区块链系统进行安全操作还包括通过区块链系统为应用服务器对应的第三方应用验证终端设备的合法性。
以通信装置130为上述方法实施例中的认证服务功能网元或者设置在该认证服务功能网元中的芯片或其他部件为例,另一种可能的实现方式中:
收发模块1301,用于接收来自区块链系统的第二消息,第二消息包括第一标识。处理模块1302,用于根据第一标识,确定终端设备的用户上下文,终端设备的用户上下文中包括第一密钥或第二密钥;第一密钥是根据第二密钥派生得到的,第二密钥为用于终端设备与认证服务功能网元之间鉴权成功后生成的密钥。处理模块1302,还用于生成第三密钥,第三密钥为用于终端设备和应用服务器安全通信的密钥,其中,生成第三密钥的输入参数中包括第一密钥或第二密钥。收发模块1301,还用于向区块链系统发送第三密钥。
可选的,第二消息还包括第二标识和/或终端设备使用第一密钥加密的参数,第二标识为应用服务器对应的第三方应用的应用标识;相应的,生成第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,解密后的参数是使用第一密钥对终端设备使用第一密钥加密的参数进行解密后获得的参数。
可选的,第二消息还包括终端设备使用第一密钥加密的参数和/或消息。处理模块1302,还用于在生成第三密钥之前,根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数和/或消息,为应用服务器对应的第三方应用验证终端设备合法。
可选的,终端设备的用户上下文中包括第一密钥;处理模块1302,用于根据终端设备的用户上下文,以及终端设备使用第一密钥加密的参数或消息,为应用服务器对应的第三方应用验证终端设备合法,包括:用于使用第一密钥对终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当解密后的参数符合预配置的终端设备和认证服务功能网元交互使用的参数格式或者数值,和/或解密后的消息符合预配置的终端设备和认证服务功能网元交互使用的消息格式,确定终端设备合法。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该通信装置130以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该通信装置130可以采用图5所示的通信设备500的形式。
比如,图5所示的通信设备500中的处理器501可以通过调用存储器503中存储的计算机执行指令,使得通信设备500执行上述方法实施例中的认证方法。
具体的,图13中的收发模块1301和处理模块1302的功能/实现过程可以通过图5所示的通信设备500中的处理器501调用存储器503中存储的计算机执行指令来实现。或者,图13中的处理模块1302的功能/实现过程可以通过图5所示的通信设备500中的处理器501调用存储器503中存储的计算机执行指令来实现,图13中的收发模块1301的功能/实现过程可以通过图5中所示的通信设备500中的通信接口504来实现。
由于本实施例提供的通信装置130可执行上述认证方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
需要说明的是,以上模块或单元的一个或多个可以软件、硬件或二者结合来实现。当以上任一模块或单元以软件实现的时候,所述软件以计算机程序指令的方式存在,并被存储在存储器中,处理器可以用于执行所述程序指令并实现以上方法流程。该处理器可以内置于SoC(片上系统)或ASIC,也可是一个独立的半导体芯片。该处理器内处理用于执行软件指令以进行运算或处理的核外,还可进一步包括必要的硬件加速器,如现场可编程门阵列(field programmable gate array,FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。
当以上模块或单元以硬件实现的时候,该硬件可以是CPU、微处理器、数字信号处理(digital signal processing,DSP)芯片、微控制单元(microcontroller unit,MCU)、人工智能处理器、ASIC、SoC、FPGA、PLD、专用数字电路、硬件加速器或非集成的分立器件中的任一个或任一组合,其可以运行必要的软件或不依赖于软件以执行以上方法流程。
可选的,本申请实施例还提供了一种通信装置(例如,该通信装置可以是芯片或芯片系统),该通信装置包括处理器,用于实现上述任一方法实施例中的方法。在一种可能的实现方式中,该通信装置还包括存储器。该存储器,用于保存必要的程序指令和数据,处理器可以调用存储器中存储的程序代码以指令该通信装置执行上述任一方法实施例中的方法。当然,存储器也可以不在该通信装置中。该通信装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (44)
1.一种认证方法,其特征在于,所述方法包括:
区块链系统接收来自应用服务器的第一消息,所述第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;
所述区块链系统根据所述第一标识,确定所述终端设备的用户上下文;
所述区块链系统根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数和/或消息,为所述应用服务器对应的第三方应用验证所述终端设备的合法性。
2.根据权利要求1所述的方法,其特征在于,所述终端设备的用户上下文中包括所述第一密钥,所述区块链系统根据所述第一标识,确定所述终端设备的用户上下文包括:
所述区块链系统根据所述第一标识,确定所述第一密钥。
3.根据权利要求2所述的方法,其特征在于,所述区块链系统根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数或消息,为所述应用服务器对应的第三方应用验证所述终端设备的合法性,包括:
所述区块链系统使用所述第一密钥对所述终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;
当所述解密后的参数符合预配置的所述终端设备和所述区块链系统交互使用的参数格式或者数值,和/或所述解密后的消息符合预配置的所述终端设备和所述区块链系统交互使用的消息格式,所述区块链系统确定所述终端设备合法。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述第一标识包括所述终端设备的全局区块链标识或者第二密钥对应的密钥标识KID中的至少一个,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述第一密钥是根据第二密钥派生得到的,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
6.根据权利要求1-5任一项所述的方法,所述方法还包括:
在所述区块链系统验证所述终端设备合法后,所述区块链系统获取第三密钥,所述第三密钥为用于所述终端设备和所述应用服务器安全通信的密钥;
所述区块链系统向所述应用服务器发送所述第三密钥。
7.根据权利要求6所述的方法,其特征在于,所述终端设备的用户上下文中包括所述第一密钥;所述区块链系统获取第三密钥,包括:
所述区块链系统生成所述第三密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥。
8.根据权利要求6所述的方法,其特征在于,所述区块链系统获取第三密钥,包括:
所述区块链系统向认证服务功能网元发送第二消息,所述第二消息包括所述第一标识,所述第一标识用于确定所述终端设备的用户上下文,所述终端设备的用户上下文中包括所述第一密钥或第二密钥,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥;
所述区块链系统接收来自所述认证服务功能网元所述第三密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥或所述第二密钥。
9.根据权利要求7或8所述的方法,其特征在于,所述生成所述第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,所述第二标识为所述第三方应用的应用标识,所述解密后的参数是使用所述第一密钥对所述终端设备使用第一密钥加密的参数进行解密后获得的参数。
10.根据权利要求8所述的方法,其特征在于,在所述区块链系统接收来自应用服务器的第一消息之前,所述方法还包括:
所述区块链系统接收来自认证服务功能网元的第三消息,所述第三消息请求将所述第一密钥、所述第一标识和所述认证服务功能网元的地址存储在所述终端设备的用户上下文中;
所述区块链系统将所述第一密钥、所述第一标识和所述认证服务功能网元的地址存储在所述终端设备的用户上下文中。
11.根据权利要求1-10任一项所述的方法,其特征在于,在所述区块链系统接收来自应用服务器的第一消息之前,所述方法还包括:
所述区块链系统接收来自认证服务功能网元的第三消息,所述第三消息请求将所述第一密钥和所述第一标识存储在所述终端设备的用户上下文中;
所述区块链系统将所述第一密钥和所述第一标识存储在所述终端设备的用户上下文中。
12.一种认证方法,其特征在于,所述方法包括:
认证服务功能网元获取指示信息,所述指示信息指示通过区块链系统进行安全操作;
所述认证服务功能网元根据所述指示信息,向所述区块链系统发送第三消息,所述第三消息包括第一信息,用于请求将所述第一信息存储在终端设备的用户上下文中,其中,所述第一信息为应用服务器通过所述区块链系统进行安全操作时所需的信息。
13.根据权利要求12所述的方法,其特征在于,所述第一信息包括第一标识和所述认证服务功能网元的地址;或者,
所述第一信息包括所述第一标识和第一密钥;或者,
所述第一信息包括所述第一标识、第一密钥和所述认证服务功能网元的地址;其中,
所述第一标识用于确定所述终端设备的用户上下文,所述第一密钥是根据第二密钥派生得到的,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
14.根据权利要求13所述的方法,其特征在于,所述第一标识包括所述终端设备的全局区块链标识或者所述第二密钥对应的密钥标识KID中的至少一个。
15.根据权利要求12-14任一项所述的方法,其特征在于,所述认证服务功能网元获取指示信息,包括:
所述认证服务功能网元接收来自所述终端设备的所述指示信息;或者,
所述认证服务功能网元接收来自统一数据管理网元的所述指示信息。
16.根据权利要求12-15任一项所述的方法,其特征在于,在所述认证服务功能网元根据所述指示信息,向所述区块链系统发送第三消息之后,所述方法还包括:
所述认证服务功能网元接收来自所述区块链系统的第二消息,所述第二消息包括第一标识;
所述认证服务功能网元根据所述第一标识,确定所述终端设备的用户上下文,所述终端设备的用户上下文中包括第一密钥或第二密钥;所述第一密钥是根据所述第二密钥派生得到的,所述第二密钥为用于所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥;
所述认证服务功能网元生成第三密钥,所述第三密钥为用于所述终端设备和所述应用服务器安全通信的密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥或所述第二密钥;
所述认证服务功能网元向所述区块链系统发送所述第三密钥。
17.根据权利要求16所述的方法,其特征在于,所述第二消息还包括第二标识和/或所述终端设备使用第一密钥加密的参数,所述第二标识为所述应用服务器对应的第三方应用的应用标识;
相应的,所述生成所述第三密钥的输入参数中还包括所述第二标识和/或解密后的参数,其中,所述解密后的参数是使用所述第一密钥对所述终端设备使用第一密钥加密的参数进行解密后获得的参数。
18.根据权利要求16或17所述的方法,其特征在于,所述第二消息还包括所述终端设备使用所述第一密钥加密的参数和/或消息;在所述认证服务功能网元生成第三密钥之前,所述方法还包括:
所述认证服务功能网元根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数和/或消息,为所述应用服务器对应的第三方应用验证所述终端设备合法。
19.根据权利要求18所述的方法,其特征在于,所述终端设备的用户上下文中包括所述第一密钥;所述认证服务功能网元根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数或消息,为所述应用服务器对应的第三方应用验证所述终端设备合法,包括:
所述认证服务功能网元使用所述第一密钥对所述终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;
当所述解密后的参数符合预配置的所述终端设备和所述认证服务功能网元交互使用的参数格式或者数值,和/或所述解密后的消息符合预配置的所述终端设备和所述认证服务功能网元交互使用的消息格式,所述认证服务功能网元确定所述终端设备合法。
20.根据权利要求12-19任一项所述的方法,其特征在于,所述通过区块链系统进行安全操作包括通过所述区块链系统获得所述应用服务器和所述终端设备之间通信的安全参数。
21.根据权利要求20所述的方法,其特征在于,所述通过区块链系统进行安全操作还包括通过所述区块链系统为所述应用服务器对应的第三方应用验证所述终端设备的合法性。
22.一种通信装置,其特征在于,所述通信装置包括:处理模块和收发模块;
所述收发模块,用于接收来自应用服务器的第一消息,所述第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;
所述处理模块,用于根据所述第一标识,确定所述终端设备的用户上下文;
所述处理模块,还用于根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数和/或消息,为所述应用服务器对应的第三方应用验证所述终端设备的合法性。
23.根据权利要求22所述的通信装置,其特征在于,所述终端设备的用户上下文中包括所述第一密钥,所述处理模块,用于根据所述第一标识,确定所述终端设备的用户上下文包括:用于根据所述第一标识,确定所述第一密钥。
24.根据权利要求23所述的通信装置,其特征在于,所述处理模块,用于根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数或消息,为所述应用服务器对应的第三方应用验证所述终端设备的合法性,包括:用于使用所述第一密钥对所述终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当所述解密后的参数符合预配置的所述终端设备和区块链系统交互使用的参数格式或者数值,和/或所述解密后的消息符合预配置的所述终端设备和所述区块链系统交互使用的消息格式,确定所述终端设备合法。
25.根据权利要求22-24任一项所述的通信装置,其特征在于,所述第一标识包括所述终端设备的全局区块链标识或者第二密钥对应的密钥标识KID中的至少一个,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
26.根据权利要求22-25任一项所述的通信装置,其特征在于,所述第一密钥是根据第二密钥派生得到的,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
27.根据权利要求22-26任一项所述的通信装置,所述处理模块,还用于在所述通信装置验证所述终端设备合法后,获取第三密钥,所述第三密钥为用于所述终端设备和所述应用服务器安全通信的密钥;
所述收发模块,还用于向所述应用服务器发送所述第三密钥。
28.根据权利要求27所述的通信装置,其特征在于,所述终端设备的用户上下文中包括所述第一密钥;所述处理模块,用于获取第三密钥,包括:用于生成所述第三密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥。
29.根据权利要求27所述的通信装置,其特征在于,所述处理模块,用于获取第三密钥,包括:用于通过所述收发模块向认证服务功能网元发送第二消息,所述第二消息包括所述第一标识,所述第一标识用于确定所述终端设备的用户上下文,所述终端设备的用户上下文中包括所述第一密钥或第二密钥,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥;通过所述收发模块接收来自所述认证服务功能网元所述第三密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥或所述第二密钥。
30.根据权利要求28或29所述的通信装置,其特征在于,所述生成所述第三密钥的输入参数中还包括第二标识和/或解密后的参数,其中,所述第二标识为所述第三方应用的应用标识,所述解密后的参数是使用所述第一密钥对所述终端设备使用第一密钥加密的参数进行解密后获得的参数。
31.根据权利要求29所述的通信装置,其特征在于,所述收发模块,还用于在接收来自应用服务器的第一消息之前,接收来自认证服务功能网元的第三消息,所述第三消息请求将所述第一密钥、所述第一标识和所述认证服务功能网元的地址存储在所述终端设备的用户上下文中;
所述处理模块,还用于将所述第一密钥、所述第一标识和所述认证服务功能网元的地址存储在所述终端设备的用户上下文中。
32.根据权利要求22-31任一项所述的通信装置,其特征在于,所述收发模块,还用于在接收来自应用服务器的第一消息之前,接收来自认证服务功能网元的第三消息,所述第三消息请求将所述第一密钥和所述第一标识存储在所述终端设备的用户上下文中;
所述处理模块,还用于将所述第一密钥和所述第一标识存储在所述终端设备的用户上下文中。
33.一种认证服务功能网元,其特征在于,所述认证服务功能网元包括:处理模块和收发模块;
所述处理模块,用于获取指示信息,所述指示信息指示通过区块链系统进行安全操作;
所述收发模块,用于根据所述指示信息,向所述区块链系统发送第三消息,所述第三消息包括第一信息,用于请求将所述第一信息存储在终端设备的用户上下文中,其中,所述第一信息为应用服务器通过所述区块链系统进行安全操作时所需的信息。
34.根据权利要求33所述的认证服务功能网元,其特征在于,所述第一信息包括第一标识和所述认证服务功能网元的地址;或者,
所述第一信息包括所述第一标识和第一密钥;或者,
所述第一信息包括所述第一标识、第一密钥和所述认证服务功能网元的地址;其中,
所述第一标识用于确定所述终端设备的用户上下文,所述第一密钥是根据第二密钥派生得到的,所述第二密钥为所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥。
35.根据权利要求34所述的认证服务功能网元,其特征在于,所述第一标识包括所述终端设备的全局区块链标识或者所述第二密钥对应的密钥标识KID中的至少一个。
36.根据权利要求33-35任一项所述的认证服务功能网元,其特征在于,所述处理模块,用于获取指示信息,包括:用于通过所述收发模块接收来自所述终端设备的所述指示信息;或者,用于通过所述收发模块接收来自统一数据管理网元的所述指示信息。
37.根据权利要求33-36任一项所述的认证服务功能网元,其特征在于,所述收发模块,还用于在向所述区块链系统发送第三消息之后,接收来自所述区块链系统的第二消息,所述第二消息包括第一标识;
所述处理模块,还用于根据所述第一标识,确定所述终端设备的用户上下文,所述终端设备的用户上下文中包括第一密钥或第二密钥;所述第一密钥是根据所述第二密钥派生得到的,所述第二密钥为用于所述终端设备与认证服务功能网元之间鉴权成功后生成的密钥;
所述处理模块,还用于生成第三密钥,所述第三密钥为用于所述终端设备和所述应用服务器安全通信的密钥,其中,生成所述第三密钥的输入参数中包括所述第一密钥或所述第二密钥;
所述收发模块,还用于向所述区块链系统发送所述第三密钥。
38.根据权利要求37所述的认证服务功能网元,其特征在于,所述第二消息还包括第二标识和/或所述终端设备使用第一密钥加密的参数,所述第二标识为所述应用服务器对应的第三方应用的应用标识;
相应的,所述生成所述第三密钥的输入参数中还包括所述第二标识和/或解密后的参数,其中,所述解密后的参数是使用所述第一密钥对所述终端设备使用第一密钥加密的参数进行解密后获得的参数。
39.根据权利要求37或38所述的认证服务功能网元,其特征在于,所述第二消息还包括所述终端设备使用所述第一密钥加密的参数和/或消息;
所述处理模块,还用于在生成所述第三密钥之前,根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数和/或消息,为所述应用服务器对应的第三方应用验证所述终端设备合法。
40.根据权利要求39所述的认证服务功能网元,其特征在于,所述终端设备的用户上下文中包括所述第一密钥;所述处理模块,用于根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数或消息,为所述应用服务器对应的第三方应用验证所述终端设备合法,包括:用于使用所述第一密钥对所述终端设备使用第一密钥加密的参数和/或消息进行解密,获得解密后的参数和/或消息;当所述解密后的参数符合预配置的所述终端设备和所述认证服务功能网元交互使用的参数格式或者数值,和/或所述解密后的消息符合预配置的所述终端设备和所述认证服务功能网元交互使用的消息格式,确定所述终端设备合法。
41.根据权利要求33-40任一项所述的认证服务功能网元,其特征在于,所述通过区块链系统进行安全操作包括通过所述区块链系统获得所述应用服务器和所述终端设备之间通信的安全参数。
42.根据权利要求41所述的认证服务功能网元,其特征在于,所述通过区块链系统进行安全操作还包括通过所述区块链系统为所述应用服务器对应的第三方应用验证所述终端设备的合法性。
43.一种通信系统,其特征在于,所述通信系统包括应用服务器和区块链系统;
所述应用服务器,用于向区块链系统发送第一消息,所述第一消息包括第一标识、以及终端设备使用第一密钥加密的参数和/或消息;
所述区块链系统,用于接收来自应用服务器的第一消息,并根据所述第一标识,确定所述终端设备的用户上下文之后,根据所述终端设备的用户上下文,以及所述终端设备使用第一密钥加密的参数和/或消息,为所述应用服务器对应的第三方应用验证所述终端设备的合法性。
44.一种通信系统,其特征在于,所述通信系统包括区块链系统和认证服务功能网元;
所述认证服务功能网元,用于获取指示信息,所述指示信息指示通过所述区块链系统进行安全操作;
所述认证服务功能网元,还用于根据所述指示信息,向所述区块链系统发送第三消息,所述第三消息包括第一信息,用于请求将所述第一信息存储在终端设备的用户上下文中,其中,所述第一信息为应用服务器通过所述区块链系统进行安全操作时所需的信息;
所述区块链系统,用于接收来自所述认证服务功能网元的所述第三消息,并将所述第一信息存储在终端设备的用户上下文中。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010880356.4A CN114205072B (zh) | 2020-08-27 | 2020-08-27 | 认证方法、装置及系统 |
| PCT/CN2021/113523 WO2022042417A1 (zh) | 2020-08-27 | 2021-08-19 | 认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010880356.4A CN114205072B (zh) | 2020-08-27 | 2020-08-27 | 认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114205072A true CN114205072A (zh) | 2022-03-18 |
| CN114205072B CN114205072B (zh) | 2023-04-28 |
Family
ID=80352621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010880356.4A Active CN114205072B (zh) | 2020-08-27 | 2020-08-27 | 认证方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114205072B (zh) |
| WO (1) | WO2022042417A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928617A (zh) * | 2022-06-15 | 2022-08-19 | 中国电信股份有限公司 | 专网签约数据管理方法、装置、设备及介质 |
| CN115801914A (zh) * | 2022-11-29 | 2023-03-14 | 重庆长安汽车股份有限公司 | 一种多协议网络数据交换方法 |
| WO2024198962A1 (zh) * | 2023-03-28 | 2024-10-03 | 华为技术有限公司 | 应用鉴权方法和装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114980107A (zh) * | 2022-05-30 | 2022-08-30 | 中国联合网络通信集团有限公司 | 数据完整性验证方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| CN109829720A (zh) * | 2019-01-31 | 2019-05-31 | 中国—东盟信息港股份有限公司 | 一种基于区块链交易数据的身份实名认证方法 |
| WO2020024764A1 (zh) * | 2018-08-03 | 2020-02-06 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102313265B1 (ko) * | 2017-11-03 | 2021-10-15 | 레노보 (싱가포르) 피티이. 엘티디. | 블록체인 네트워크에 의해 제공된 접속 정보를 이용한 사용자 인증 |
| CN108737418B (zh) * | 2018-05-22 | 2020-09-15 | 飞天诚信科技股份有限公司 | 一种基于区块链的身份认证方法及系统 |
| US11336430B2 (en) * | 2018-09-07 | 2022-05-17 | Sap Se | Blockchain-incorporating distributed authentication system |
| KR102020000B1 (ko) * | 2018-10-31 | 2019-09-09 | 주식회사 스위클 | 사용증명방식 블록체인 기반의 일회용 개인키를 이용한 개인정보 제공 시스템 및 방법 |
| CN111464287A (zh) * | 2019-01-21 | 2020-07-28 | 华为技术有限公司 | 生成密钥的方法和装置 |
| CN111132165B (zh) * | 2019-12-30 | 2022-06-10 | 全链通有限公司 | 基于区块链的5g通信无卡接入方法、设备及存储介质 |
-
2020
- 2020-08-27 CN CN202010880356.4A patent/CN114205072B/zh active Active
-
2021
- 2021-08-19 WO PCT/CN2021/113523 patent/WO2022042417A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
| WO2020024764A1 (zh) * | 2018-08-03 | 2020-02-06 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
| CN109829720A (zh) * | 2019-01-31 | 2019-05-31 | 中国—东盟信息港股份有限公司 | 一种基于区块链交易数据的身份实名认证方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928617A (zh) * | 2022-06-15 | 2022-08-19 | 中国电信股份有限公司 | 专网签约数据管理方法、装置、设备及介质 |
| CN114928617B (zh) * | 2022-06-15 | 2023-07-21 | 中国电信股份有限公司 | 专网签约数据管理方法、装置、设备及介质 |
| CN115801914A (zh) * | 2022-11-29 | 2023-03-14 | 重庆长安汽车股份有限公司 | 一种多协议网络数据交换方法 |
| CN115801914B (zh) * | 2022-11-29 | 2024-04-30 | 重庆长安汽车股份有限公司 | 一种多协议网络数据交换方法 |
| WO2024198962A1 (zh) * | 2023-03-28 | 2024-10-03 | 华为技术有限公司 | 应用鉴权方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022042417A1 (zh) | 2022-03-03 |
| CN114205072B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11777926B2 (en) | Internet of things (IoT) device management | |
| US10516654B2 (en) | System, apparatus and method for key provisioning delegation | |
| JP5987039B2 (ja) | 複数のドメインのシステムおよびドメイン所有権 | |
| CN114205072B (zh) | 认证方法、装置及系统 | |
| EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
| US9253588B2 (en) | Virtual subscriber identity module | |
| EP3627794A1 (en) | Discovery method and apparatus based on service-oriented architecture | |
| CN105409249B (zh) | 机器对机器自举引导 | |
| CN110050474A (zh) | 用于物联网网络中的复合对象的子对象的类型命名和区块链 | |
| CN113544672A (zh) | 隐私保护的自主证实 | |
| EP2767029B1 (en) | Secure communication | |
| CN112512045B (zh) | 一种通信系统、方法及装置 | |
| CN115065466B (zh) | 密钥协商方法、装置、电子设备和计算机可读存储介质 | |
| CN112187709A (zh) | 鉴权方法、设备及服务器 | |
| CN109005032B (zh) | 一种路由方法和装置 | |
| JP2008186338A (ja) | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置、クライアント装置 | |
| CN113938879A (zh) | 一种通信方法及通信装置 | |
| CN110198538A (zh) | 一种获得设备标识的方法及装置 | |
| CN114024692A (zh) | 签约方法、装置及系统 | |
| CN114640992A (zh) | 更新用户身份标识的方法和装置 | |
| CN109151816B (zh) | 一种网络鉴权方法及系统 | |
| KR20200130044A (ko) | 인증서 관리 및 검증 방법 및 장치 | |
| CN117376905A (zh) | 数据处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |